16 августа 2018 г., 14:45 по тихоокеанскому летнему времени
Идентификаторы CVE: CVE-2018-3620, CVE-2018-3646
Корпорация Intel опубликовала совет по безопасности (INTEL-SA-00161), который касается нового метода анализа сторонних каналов в отношении ее процессоров, под названием L1 Terminal Fault (L1TF). Компания AWS разработала и внедрила свою инфраструктуру с защитой от подобных типов атак, а также развернула дополнительные средства защиты от L1TF. Вся инфраструктура хоста EC2 была обновлена с помощью этих новых средств защиты, поэтому клиентам не нужно выполнять никаких действий на уровне инфраструктуры.
Обновленные ядра для Amazon Linux AMI 2017.09 (ALAS-2018-1058), Amazon Linux AMI 2018.03 (ALAS-2018-1058) и Amazon Linux 2 (ALAS-2018-1058) доступны в соответствующих репозиториях. Чтобы обеспечить общую безопасность, мы рекомендуем устанавливать исправления для своих операционных систем или программного обеспечения по мере их появления для решения возникающих проблем со сторонними каналами.
Мы выпустили новые версии AMI для Amazon Linux и Amazon Linux 2, в которые автоматически включено обновленное ядро. Для образов с обновленными ядрами доступны идентификаторы AMI Amazon Linux 2018.03 и Amazon Linux 2, которые также можно найти в хранилище параметров AWS Systems Manager.
Пока же мы советуем использовать более мощные ресурсы безопасности и изоляции инстансов EC2, а не полагаться на границы процессов операционной системы или контейнеров, если рабочие нагрузки выполняются с различными привилегиями защиты.